Obtén más información sobre cómo Yahoo! Japan construyó un sistema de identidad sin contraseñas.
Campaña de JAPÓN es una de las empresas de medios de comunicación más grandes de Japón, ya que brinda servicios como búsqueda, noticias, comercio electrónico y correo electrónico. Más de 50 millones de usuarios accede a Yahoo! JAPAN todos los meses.
A lo largo de los años, hubo muchos ataques a las cuentas de usuario y problemas que llevaron a por la pérdida de acceso a una cuenta. La mayoría de estos problemas estaban relacionados con el uso de contraseñas. para la autenticación.
Con los recientes avances en tecnología de autenticación, Yahoo! Japón ha decidido pasar de la autenticación basada en contraseñas a la autenticación sin contraseña.
¿Por qué no utiliza contraseñas?
Como Yahoo! JAPAN ofrece comercio electrónico y otros servicios relacionados con dinero, hay un riesgo de daños significativos para los usuarios en caso de acceso no autorizado o pérdida de cuentas.
Los ataques más comunes relacionados con las contraseñas fueron los ataques a listas de contraseñas de phishing. Una de las razones por las que los ataques a las listas de contraseñas son comunes eficaz es el hábito de muchas personas de usar la misma contraseña para varios aplicaciones y sitios web.
Las siguientes cifras corresponden a los resultados de una encuesta realizada por Yahoo! Japón.
(50) %
usar el mismo ID y la misma contraseña en seis o más sitios
(60) %
Usa la misma contraseña en varios sitios
(70) %
usar una contraseña como la forma principal de acceder
Los usuarios a menudo olvidan las contraseñas, lo que representaba la mayoría del relacionadas con las contraseñas. También hubo consultas de usuarios que tenían olvidaron sus IDs de acceso además de las contraseñas. En su pico máximo, estos representaban más de un tercio de todas las consultas relacionadas con la cuenta.
Al utilizar la tecnología sin contraseña, Yahoo! JAPAN se propuso mejorar no solo la seguridad, sino también y también la usabilidad, sin carga adicional en los usuarios.
Desde una perspectiva de seguridad, eliminar las contraseñas del usuario proceso de autenticación reduce el daño de los ataques basados en listas y de desde la perspectiva de usabilidad, proporcionar un método de autenticación que no se base para recordar contraseñas evita situaciones en las que un usuario no puede acceder porque olvidaron la contraseña.
Campaña de las iniciativas sin contraseñas de JAPAN
Campaña de JAPAN está tomando varias medidas para promover la tecnología sin contraseña que se pueden dividir en tres categorías:
- Proporcionar un método alternativo de autenticación a las contraseñas
- Desactivación de contraseña.
- Registro de cuentas sin contraseña.
Las primeras dos iniciativas se dirigieron a los usuarios existentes, aunque la tecnología sin contraseña está dirigido a usuarios nuevos.
1. Proporcionar un medio alternativo de autenticación a las contraseñas
Campaña de JAPAN ofrece las siguientes alternativas a las contraseñas.
Además, ofrecemos métodos de autenticación, como el correo electrónico autenticación, contraseña combinada con SMS OTP (contraseña de un solo uso) y la contraseña se combina con la OTP del correo electrónico.
Autenticación de SMS
La autenticación de SMS es un sistema que permite que un usuario registrado reciba un código de autenticación de seis dígitos por SMS. Una vez que el usuario recibe el SMS, puede ingresar el código de autenticación en la app o el sitio web.
Desde hace tiempo, Apple permite que iOS lea los mensajes SMS y sugiera autenticación
a partir del cuerpo del texto. Recientemente, es posible utilizar sugerencias
especificar "código-único" en el atributo autocomplete de la entrada
. Chrome en Android, Windows y Mac puede proporcionar la misma experiencia
con la API de WebOTP.
Por ejemplo:
<form>
<input type="text" id="code" autocomplete="one-time-code"/>
<button type="submit">sign in</button>
</form>
if ('OTPCredential' in window) {
const input = document.getElementById('code');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', e => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport:['sms'] },
signal: ac.signal
}).then(otp => {
input.value = otp.code;
}).catch(err => {
console.log(err);
});
}
Ambos enfoques están diseñados para prevenir el phishing incluyendo el dominio en el cuerpo del SMS y proporcionar sugerencias solo para el dominio especificado.
Para obtener más información sobre la API de WebOTP y autocomplete="one-time-code", consulta lo siguiente:
consulta las prácticas recomendadas para los formularios de OTP por SMS.
FIDO con WebAuthn
FIDO con WebAuthn usa un autenticador de hardware para generar una clave pública el par de cifrados y demostrar la posesión. Cuando se usa un smartphone como autenticador, se puede combinar con la autenticación biométrica (como sensores de huellas dactilares o reconocimiento facial) para aplicar autenticación. En este caso, solo la firma y la indicación de éxito de la autenticación biométrica se envían al servidor, por lo que no hay riesgos de robo de datos biométricos.
En el siguiente diagrama, se muestra la configuración servidor-cliente para FIDO. El autenticador de cliente autentica al usuario con datos biométricos y firma resultado con criptografía de clave pública. La clave privada que se usa para crear la la firma se almacena de forma segura en un TEE (entorno de ejecución confiable) o una ubicación similar. Un proveedor de servicios que usa FIDO se denomina RP. (parte de confianza).
Una vez que el usuario realiza la autenticación (generalmente con un escaneo biométrico o con un PIN), el autenticador usa una clave privada para enviar una señal de verificación firmada al navegador. Luego, el navegador comparte ese indicador con el sitio web del RP.
Luego, el sitio web del RP envía la señal de verificación firmada al servidor del RP, que verifica la firma con la clave pública para completar la autenticación.
Para obtener más información, lee lo siguiente: de autenticación de FIDO Alliance.
Campaña de JAPAN admite FIDO en Android (Web y apps para dispositivos móviles) y iOS (en apps para dispositivos móviles). y web), Windows (Edge, Chrome y Firefox) y macOS (Safari y Chrome). Como servicio de consumidor, FIDO se puede usar en casi cualquier dispositivo, lo que lo convierte en para promover la autenticación sin contraseña.
Campaña de JAPAN recomienda que los usuarios se registren en FIDO con WebAuthn, si han no se haya autenticado por otros medios. Cuando un usuario necesita acceder con el mismo dispositivo, se pueden autenticar rápidamente con un sensor biométrico.
Los usuarios deben configurar la autenticación FIDO con todos los dispositivos que usan para acceder Presupuestos de campañas publicitarias de Yahoo! Japón.
Para promover la autenticación sin contraseña y ser considerado con los usuarios que cuando dejamos de contraseñas, proporcionamos varios medios para autenticación. Esto significa que los distintos usuarios pueden tener diferentes la configuración de los métodos de autenticación y los métodos de autenticación que pueden usar La información puede variar de un navegador a otro. Creemos que es una mejor experiencia los usuarios acceden con el mismo método de autenticación cada vez.
Para cumplir con estos requisitos, es necesario hacer un seguimiento de las autenticaciones anteriores y vincular esta información con el cliente almacenándola en forma cookies, etc. Luego, podemos analizar la forma en que los distintos navegadores y aplicaciones que se usa para la autenticación. Se le pide al usuario que proporcione del usuario en función de la configuración del usuario, la autenticación métodos utilizados y el nivel mínimo de autenticación requerido.
2. Desactivación de contraseñas
Campaña de JAPAN les pide a los usuarios que configuren un método alternativo de autenticación y y luego inhabilitar la contraseña para que no se pueda usar. Además de establecer la autenticación alternativa, inhabilitar la autenticación con contraseña (por lo tanto, imposibilitar el acceso con solo una contraseña) ayuda a proteger a los usuarios del basados en listas.
Se implementaron los siguientes pasos para alentar a los usuarios a inhabilitar sus contraseñas.
- Promoción de métodos alternativos de autenticación cuando los usuarios restablecen sus contraseñas
- Alentar a los usuarios a configurar métodos de autenticación fáciles de usar (como FIDO) y también inhabilitará las contraseñas en situaciones que requieran frecuentes autenticación.
- Incitar a los usuarios a que inhabiliten sus contraseñas antes de usar servicios de alto riesgo como los pagos de comercio electrónico.
Si un usuario olvida su contraseña, puede ejecutar una recuperación de la cuenta. Anteriormente esto implicó un restablecimiento de la contraseña. Ahora, los usuarios pueden elegir configurar una configuración de autenticación de varios factores, y los animamos a que lo hagan.
3. Registro de cuentas sin contraseña
Los usuarios nuevos pueden crear cuentas sin contraseña de Yahoo! JAPAN. Los usuarios son lo primero que se requiere para registrarse con una autenticación de SMS. Una vez que accedan, Se incentiva al usuario a configurar la autenticación FIDO.
Como FIDO es una configuración de cada dispositivo, puede ser difícil recuperar una cuenta, en caso de que el dispositivo deje de funcionar. Por lo tanto, exigimos que los usuarios mantengan número de teléfono registrado, incluso después de configurar la autenticación adicional.
Desafíos clave para la autenticación sin contraseña
Las contraseñas dependen de la memoria humana y son independientes del dispositivo. Por otro lado, los métodos de autenticación introducidos hasta ahora en nuestra iniciativa sin contraseña dependen del dispositivo. Esto plantea varios desafíos.
Cuando se usan varios dispositivos, hay algunos problemas relacionados con la usabilidad:
- Cuando se utiliza la autenticación de SMS para acceder desde una PC, los usuarios deben verificar teléfono celular para los mensajes SMS entrantes. Esto puede ser un inconveniente, ya que requiere que el teléfono del usuario esté disponible y se pueda acceder a él fácilmente en cualquier momento.
- Con FIDO, en especial con autenticadores de plataforma, un usuario con varias no podrán autenticarse en dispositivos no registrados. Se debe completar el registro de cada dispositivo que deseen usar.
La autenticación FIDO está vinculada a dispositivos específicos, lo que requiere que permanezcan en la posesión y activas del usuario.
- Si se cancela el contrato de servicio, ya no se podrá enviar Envía mensajes SMS al número de teléfono registrado.
- FIDO almacena claves privadas en un dispositivo específico. Si el dispositivo se pierde, de servicio no se pueden usar.
Campaña de Japón está tomando diversas medidas para abordar estos problemas.
La solución más importante es alentar a los usuarios a configurar varias métodos de autenticación. Esto brinda acceso alternativo a las cuentas cuando los dispositivos se pierden. Dado que las claves FIDO dependen del dispositivo, también es una buena práctica registrar claves privadas FIDO en varios dispositivos.
Como alternativa, los usuarios pueden usar la API de WebOTP para aprobar la verificación por SMS de configuración de un teléfono Android a Chrome en una PC.
Creemos que abordar estos problemas será aún más importante a medida que de autenticación sin contraseña.
Promover la autenticación sin contraseña
Campaña de JAPAN ha estado trabajando en estas iniciativas sin contraseñas desde 2015. Esto comenzó con la adquisición de la certificación de servidor FIDO en mayo de 2015, seguido de la introducción de la autenticación de SMS, una función de desactivación y compatibilidad con FIDO para cada dispositivo.
Hoy en día, más de 30 millones de usuarios activos por mes ya inhabilitaron contraseñas y usan métodos de autenticación sin contraseña. Campaña de JAPÓN la compatibilidad con FIDO comenzó con Chrome en Android y ahora usuarios configuraron la autenticación FIDO.
Como resultado de las acciones de configuración Japón, el porcentaje de consultas relacionados con el olvido de contraseñas o IDs de acceso disminuyó un 25% en comparación con el período en el que el número de consultas fue su máximo y también confirmamos que el acceso no autorizado ha rechazado a causa de la de aumento en la cantidad de cuentas sin contraseña.
Como FIDO es muy fácil de configurar, tiene un porcentaje de conversiones particularmente alto. De hecho, Yahoo! JAPAN descubrió que FIDO tiene un CVR más alto que los SMS autenticación.
(25) %
Disminución de las solicitudes de credenciales olvidadas
(74) %
Los usuarios tienen éxito con la autenticación FIDO
(65) %
Completar correctamente la verificación por SMS
FIDO tiene una tasa de éxito más alta que la autenticación por SMS, y un promedio y
la mediana de los tiempos de autenticación. En cuanto a las contraseñas, algunos grupos tienen contraseñas
de autenticación y sospechamos que esto se debe a la configuración
autocomplete="current-password"
La mayor dificultad para ofrecer cuentas sin contraseña no es la adición de métodos de autenticación, pero populariza el uso de autenticadores. Si la experiencia de usar un servicio sin contraseña no es fácil de usar, el la transición no será fácil.
Creemos que, para lograr una mayor seguridad, primero debemos mejorar la usabilidad lo que requerirá innovaciones únicas para cada servicio.
Conclusión
La autenticación con contraseña es riesgosa para la seguridad y también implica en términos de usabilidad. Ahora que las tecnologías la autenticación sin contraseña, como la API de WebOTP y FIDO, disponible, es hora de trabajar en la autenticación sin contraseña.
En Yahoo! Japón, adoptar este enfoque tuvo un efecto claro en usabilidad y seguridad. Sin embargo, muchos usuarios siguen usando contraseñas, así que seguirá incentivando a más usuarios a cambiar a la autenticación sin contraseña . También seguiremos mejorando nuestros productos para optimizar la experiencia del para métodos de autenticación sin contraseñas.
Foto de olieman.eth en Unsplash